በዚህ ጽሁፍ ስለ ማይጨው ማልዌር ተከታታይ ህትመቶችን እንጀምራለን። ፋይል-አልባ የጠለፋ ፕሮግራሞች፣ እንዲሁም ፋይል-አልባ የጠለፋ ፕሮግራሞች በመባልም የሚታወቁት፣ ጠቃሚ ይዘትን ለመፈለግ እና ለማውጣት ትዕዛዞችን በጸጥታ ለማስኬድ በተለምዶ PowerShellን በዊንዶውስ ሲስተም ይጠቀማሉ። ያለ ተንኮል አዘል ፋይሎች የጠላፊ እንቅስቃሴን መለየት ከባድ ስራ ነው፣ ምክንያቱም... ጸረ-ቫይረስ እና ሌሎች በርካታ የፍተሻ ስርዓቶች በፊርማ ትንተና ላይ ተመስርተው ይሰራሉ። ግን ጥሩ ዜናው እንደዚህ አይነት ሶፍትዌር መኖሩ ነው. ለምሳሌ, , በፋይል ስርዓቶች ውስጥ ተንኮል አዘል እንቅስቃሴዎችን መለየት የሚችል.
የባዳስ ጠላፊዎችን ርዕስ መመርመር ስጀምር፣ , ነገር ግን በተጠቂው ኮምፒዩተር ላይ የሚገኙት መሳሪያዎች እና ሶፍትዌሮች ብቻ, ይህ በቅርቡ ታዋቂ የጥቃት ዘዴ እንደሚሆን አላውቅም ነበር. የደህንነት ባለሙያዎች ይህ አዝማሚያ እየሆነ ነው, እና - የዚህ ማረጋገጫ. ስለዚህ, በዚህ ርዕስ ላይ ተከታታይ ህትመቶችን ለማዘጋጀት ወሰንኩ.
ታላቁ እና ኃይለኛ PowerShell
ስለነዚህ አንዳንድ ሀሳቦች ቀደም ብዬ ጽፌያለሁ ፣ ግን የበለጠ በንድፈ ሀሳባዊ ጽንሰ-ሀሳብ ላይ የተመሠረተ። በኋላ አገኘሁት በዱር ውስጥ "የተያዙ" የማልዌር ናሙናዎችን ማግኘት የሚችሉበት. ፋይል-አልባ ማልዌር ናሙናዎችን ለማግኘት ይህንን ጣቢያ ለመጠቀም ወሰንኩ። እና ተሳክቶልኛል። በነገራችን ላይ፣ በራስዎ የማልዌር አደን ጉዞ ላይ መሄድ ከፈለጉ፣ ስራውን እንደ ነጭ ኮፍያ ስፔሻሊስት እየሰሩት እንደሆነ እንዲያውቁ በዚህ ጣቢያ ማረጋገጥ አለብዎት። የደህንነት ብሎገር እንደመሆኔ፣ ያለ ምንም ጥያቄ አልፌዋለሁ። አንተም እንደምትችል እርግጠኛ ነኝ።
ከራሳቸው ናሙናዎች በተጨማሪ በጣቢያው ላይ እነዚህ ፕሮግራሞች ምን እንደሚሠሩ ማየት ይችላሉ. ድብልቅ ትንተና ማልዌርን በራሱ ማጠሪያ ውስጥ ያስኬዳል እና የስርዓት ጥሪዎችን፣ ሂደቶችን እና የአውታረ መረብ እንቅስቃሴን ይቆጣጠራል፣ እና አጠራጣሪ የጽሑፍ ሕብረቁምፊዎችን ያወጣል። ለሁለትዮሽ እና ሌሎች ሊተገበሩ የሚችሉ ፋይሎች፣ i.e. ትክክለኛውን የከፍተኛ ደረጃ ኮድ እንኳን ማየት በማይችሉበት፣ ድቅል ትንተና የሚወስነው ሶፍትዌሩ ተንኮል አዘል ወይም አጠራጣሪ መሆኑን በሚሰራበት ጊዜ እንቅስቃሴ ላይ ነው። እና ከዚያ በኋላ ናሙናው ቀድሞውኑ ይገመገማል.
በPowerShell እና በሌሎች የናሙና ስክሪፕቶች (Visual Basic፣ JavaScript፣ ወዘተ)፣ ኮዱን እራሱ ለማየት ችያለሁ። ለምሳሌ፣ ይህን የPowerShell ምሳሌ አጋጥሞኛል፡-
እንዳይታወቅ ለማድረግ PowerShellን በbase64 ኢንኮዲንግ ማሄድ ይችላሉ። መስተጋብራዊ ያልሆኑ እና የተደበቁ መለኪያዎች አጠቃቀምን ልብ ይበሉ።
በመደበቅ ላይ የእኔን ጽሁፎች ካነበብክ፡-e የሚለው አማራጭ ይዘቱ ቤዝ64 ኮድ መያዙን እንደሚገልጽ ታውቃለህ። በነገራችን ላይ, ድቅል ትንተና ሁሉንም ነገር ወደ ኋላ በመለየት ይህንን ይረዳል. ቤዝ64 PowerShellን (ከዚህ በኋላ PS ተብሎ የሚጠራውን) እራስዎ መፍታት መሞከር ከፈለጉ ይህንን ትዕዛዝ ማስኬድ ያስፈልግዎታል:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))ወደ ጥልቅ ይሂዱ
ይህን ዘዴ ተጠቅሜ የኛን PS ስክሪፕት ዲኮድ አድርጌዋለሁ፡ የፕሮግራሙ ጽሁፍ ከዚህ በታች ቀርቧል፣ በእኔ ትንሽ ቢቀየርም፡-
ስክሪፕቱ ከሴፕቴምበር 4 ቀን 2017 ጋር የተቆራኘ እና የተላለፈ የክፍለ ጊዜ ኩኪዎች መሆኑን ልብ ይበሉ።
ስለዚህ የጥቃት ዘይቤ ጻፍኩ የ base64 ኢንኮድ ስክሪፕት ራሱ የሚጫነው የጠፋ ከሌላ ጣቢያ የመጣ ማልዌር፣ የ.Net Framework Library's WebClient ነገርን በመጠቀም ከባድ ማንሳት።
ምን ያደርጋል?
ለደህንነት ሶፍትዌሮች የዊንዶውስ ክስተት ምዝግብ ማስታወሻዎችን ወይም ፋየርዎሎችን ለመቃኘት ቤዝ64 ኢንኮዲንግ "WebClient" የሚለውን ሕብረቁምፊ በግልፅ የጽሁፍ ጥለት እንዳይገኝ ይከላከላል። እና ሁሉም የተንኮል አዘል ዌር “ክፋት” ወርዶ ወደ እኛ ፓወር ሼል ስለሚተላለፍ ይህ አካሄድ ከማግኘታችን ሙሉ በሙሉ እንድንሸሸግ ያስችለናል። ወይም ይልቁንስ በመጀመሪያ ያሰብኩት ነው።
በዊንዶውስ ፓወር ሼል የላቀ ምዝግብ ማስታወሻ በነቃ (ጽሑፌን ይመልከቱ) በክስተት ምዝግብ ማስታወሻ ውስጥ የተጫነውን መስመር ማየት ይችላሉ ። እኔ እንደ ነኝ ) ማይክሮሶፍት ይህንን የመግቢያ ደረጃ በነባሪ ማንቃት አለበት ብዬ አስባለሁ። ስለዚህ ፣ የተራዘመ ምዝግብ ማስታወሻን ከነቃ ፣ በዊንዶውስ ክስተት ሎግ ውስጥ የተጠናቀቀ የማውረድ ጥያቄ ከ PS ስክሪፕት በላይ በተነጋገርነው ምሳሌ እናያለን። ስለዚህ እሱን ማግበር ምክንያታዊ ነው ፣ አይስማሙም?
ተጨማሪ ሁኔታዎችን እንጨምር
ጠላፊዎች የ PowerShell ጥቃቶችን በማይክሮሶፍት ኦፊስ ማክሮዎች በ Visual Basic እና በሌሎች የስክሪፕት ቋንቋዎች ይደብቃሉ። ሐሳቡ ተጎጂው መልእክት ይቀበላል, ለምሳሌ ከማድረስ አገልግሎት, በ .doc ቅርጸት የተያያዘ ዘገባ. ማክሮውን የያዘውን ይህን ሰነድ ይከፍቱታል፣ እና ተንኮል አዘል ፓወር ሼልን ራሱ ያስነሳል።
ብዙ ጊዜ ቪዥዋል ቤዚክ ስክሪፕት እራሱ የተደበቀ በመሆኑ ከጸረ-ቫይረስ እና ከሌሎች የማልዌር ስካነሮች ነፃ ይወጣል። ከላይ ባለው መንፈስ፣ ከላይ ያለውን PowerShellን በጃቫ ስክሪፕት እንደ ልምምድ ለማድረግ ወሰንኩ። የሥራዬ ውጤት ከዚህ በታች ቀርቧል።
የተደበቀ ጃቫ ስክሪፕት የእኛን PowerShell እየደበቀ ነው። እውነተኛ ጠላፊዎች ይህንን አንድ ወይም ሁለት ጊዜ ያደርጉታል.
ይሄ በድሩ ዙሪያ ሲንሳፈፍ ያየሁት ሌላ ዘዴ ነው፡- ኮድ ሼልን ለማሄድ Wscript.Shellን መጠቀም። በነገራችን ላይ ጃቫ ስክሪፕት ራሱ ነው። የማልዌር አቅርቦት. ብዙ የዊንዶውስ ስሪቶች አብሮገነብ አላቸው። , እሱ ራሱ JS ማሄድ ይችላል.
በእኛ ሁኔታ፣ ተንኮል አዘል JS ስክሪፕት ከ.doc.js ቅጥያ ጋር እንደ ፋይል ተካቷል። ዊንዶውስ በተለምዶ የመጀመሪያውን ቅጥያ ብቻ ያሳያል፣ ስለዚህ ለተጎጂው እንደ Word ሰነድ ሆኖ ይታያል።
የJS አዶ በጥቅልል አዶ ውስጥ ብቻ ነው የሚታየው። ብዙ ሰዎች ይህን ዓባሪ የ Word ሰነድ ነው ብለው ቢከፍቱት ምንም አያስደንቅም።
በእኔ ምሳሌ ስክሪፕቱን ከድር ጣቢያዬ ለማውረድ ከላይ ያለውን PowerShell አስተካክዬዋለሁ። የርቀት ፒኤስ ስክሪፕት "Evil Malware" ብቻ ያትማል። እንደምታየው, እሱ በጭራሽ ክፉ አይደለም. በእርግጥ እውነተኛ ጠላፊዎች በትእዛዝ ሼል በኩል ወደ ላፕቶፕ ወይም አገልጋይ ማግኘት ይፈልጋሉ። በሚቀጥለው ጽሁፍ PowerShell ኢምፓየርን በመጠቀም ይህንን እንዴት ማድረግ እንደሚችሉ አሳያችኋለሁ።
ለመጀመሪያው የመግቢያ መጣጥፍ ወደ ርዕሰ ጉዳዩ በጥልቀት እንዳልገባን ተስፋ አደርጋለሁ። አሁን ትንሽ እንድትተነፍስ እፈቅዳለሁ፣ እና በሚቀጥለው ጊዜ ያለምንም አላስፈላጊ የመግቢያ ቃላት ወይም ዝግጅት ፋይል አልባ ማልዌርን በመጠቀም የጥቃት ምሳሌዎችን መመልከት እንጀምራለን።
ምንጭ: hab.com